Come ampiamente previsto e prevedibile, la rivelazione di CTS Labs sulle 13 vulnerabilità dei processori AMD ha avviato un dibattito molto acceso sulle conseguenze dello studio, le modalità di presentazioni al pubblico e le reali motivazioni della società israeliana. Un dibattito probabilmente destinato a durare ancora a lungo, soprattutto se i cyber-criminali troveranno il modo di sfruttare i bug a loro vantaggio.
L’iniziativa di CTS Labs ha sollevato dubbi fin dall’inizio , e qualcuno ha anche messo in dubbio la legittimità del lavoro dei ricercatori. CTS Labs ha in seguito comunicato di aver fornito il codice degli exploit proof-of-concept ad AMD, Microsoft, HP, Dell, Cisco e altri, mentre i ricercatori terzi hanno confermato l’effettiva presenza delle falle all’interno delle CPU e dei chipset di Sunnyvale.
Le vulnerabilità sono reali, gli exploit funzionano ma i rischi concreti per gli utenti sono limitati, dice qualcuno, perché il loro utilizzo richiede la disponibilità dell’accesso root alla macchina bersaglio. Nel frattempo CTS Labs ha provato a difendersi dalle polemiche rivendicando il metodo scelto per la pubblicazione: attendere solo un giorno prima di svelare la loro ricerca forzerà AMD ad agire immediatamente sui bug, ha detto il CTO dell’azienda Ilia Luk-Zilberman, mentre la politica generalmente seguita in questi casi – con l’attesa di 1-3 mesi prima della pubblicazione – è secondo il manager sbagliata e poco utile.
Contro CTS Labs si è però scagliato anche Linus Torvalds, il “padre” di Linux, che ha aspramente criticato – ovviamente a modo suo – il comportamento sia della società di sicurezza che dei mezzi di comunicazione. Certi ricercatori di sicurezza sembrano dei clown, ha detto Torvalds, e dovrebbero usare un po’ più giudizio nelle loro “rivelazioni” al pubblico.
Chi deve fare i conti con un problema molto poco “clownesco” è invece Intel, chipmaker ancora alle prese con i contraccolpi di Meltdown e Spectre che ora dice di aver rilasciato versioni aggiornate del microcodice per il “cento per cento” dei processori commercializzati negli ultimi cinque anni .
Nel futuro Intel continuerà a distribuire “mitigazioni software” per uno dei tre bug scoperti nelle sue CPU x86, mentre nel corso del 2018 farà debuttare sul mercato la prima generazione di chip fisicamente “blindata” contro gli attacchi ai processi di esecuzione speculativa delle istruzioni. Le CPU Core di ottava generazione basati su microarchitettura “Cascade Lake” (Xeon Scalable) avranno la capacità di separare le istruzioni legittime da quelle potenzialmente malevole a livello di transistor, promette Intel .
Alfonso Maruccia